jt-131
Goto Top

Schulserver Physikalische Trennung zwischen Verwaltungsbereich und Pädagogikbereich ein MUSS?

Hallo zusammen,

ich bin Azubi im 3. Lehrjahr und arbeite in einer Stadtverwaltung. Dort kümmern wir uns um Schulen und andere Städtische Einrichtungen.

Als Abschlussprojekt wurde mir vorgeschlagen, dass ich in einer Schule unser Pädagogik-Server vom Verwaltungsserver physikalisch trenne, da das Gesetzlich vorgegeben ist.

Nun habe ich mir die BASS ( Bereinigte Amtliche Sammlung der Schulvorschriften ) von einer Schule ausgeliehen und bin etwas überrascht.
Dort steht zwar, dass z.B. Schüler keine Verwaltungsdaten ansehen dürfen aber von einer kompletten physikalischen Abtrennung ist da nicht die Rede oder übersehe ich da etwas?

Hier mal aus der BASS 10 - 41 Nr. 6.1 § 2:
§ 2 Verfahren der automatisierten Datenverarbeitung

(1) Die automatisierte Verarbeitung der personenbezogenen Daten ist ausschließlich auf ADV-Arbeitsplätzen zulässig, die für Verwaltungszwecke eingerichtet sind. In Netzwerken ist über die Konfiguration die Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz zu gewährleisten und insbesondere sicherzustellen, dass Berechtigte nur Zugang zu personenbezogenen Daten erhalten, die für die jeweilige Aufgabenerfüllung erforderlich sind.

(2) Über die automatisierte Verarbeitung von personenbezogenen Daten in der Schule entscheidet die Schulleiterin oder der Schulleiter im Rahmen der geltenden Vorschriften. Sie oder er erstellt auch das Verfahrensverzeichnis gemäß § 8 DSG NW. Mit der Datenverarbeitung können Mitarbeiterinnen und Mitarbeiter des Schulsekretariats sowie Lehrerinnen und Lehrer, denen entsprechende Funktionen übertragen worden sind, beauftragt werden.

(3) Über die automatisierte Verarbeitung personenbezogener Daten entscheidet in de n in § 1 Absatz 1 genannten Behörden oder Einrichtungen, die keine Schulen sind, die Leiterin oder der Leiter. Sie oder er erstellt auch das Verfahrensverzeichnis gemäß § 8 DSG NW. Mit der Datenverarbeitung und der Erstellung des Verfahrensverzeichnisses können Mitarbeiterinnen und Mitarbeiter, denen entsprechende Funktionen übertragen worden sind, beauftragt werden.

(4) Bei der Einführung und Pflege der Verfahren für die automatisierte Verarbeitung personenbezogener Daten sind der Stand der Technik und die Grundsätze der Ergonomie zur effektiven und effizienten Unterstützung der Mitarbeiterinnen und Mitarbeiter bei der Erledigung ihrer Arbeitsaufgaben besonderes zu beachten.

(5) Für Zwecke der Zuordnung der Person zu ihren Daten wird ein eindeutiges Merkmal mit der Bezeichnung "Identnummer" gebildet. Die Identnummer ist vierzehnstellig und besteht in den ersten acht Stellen aus dem Geburtsdatum, in der neunten Stelle aus der Verschlüsselung des Geschlechts (3 für männlich, 4 für weiblich), in den Stellen zehn bis zwölf aus einer von 001 bis 999 fortlaufenden Nummerierung, in der dreizehnten Stelle aus einer Prüfziffer sowie einem "X" in der vierzehnten Stelle.


Heißt das nicht einfach, dass ich die Daten so voneinander trenne, dass nur "Berechtigte" sich gewisse Daten ansehen können?
An wen kann ich mich sonst wenden, um meine Frage beantwortet zu bekommen? An das Schulministerium?
Wäre nett, wenn mir jemand helfen könnte...

Lieben Gruß

Content-Key: 178567

Url: https://administrator.de/contentid/178567

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: dog
dog 09.01.2012 um 01:19:43 Uhr
Goto Top
Physikalische Trennung zwischen Verwaltungsbereich und Pädagogikbereich ein MUSS?

Wenn du mich fragst: IMMER.
Natürlich haben wir Switche mit VLANs und man könnte das auch alles logisch sauber und sicher trennen, aber ich will mich in dem Zweifelsfall, dass mal etwas passiert nicht auf irgendwelche Diskussionen einlassen müssen, dass ich etwas falsch gemacht hätte.
Darum bleiben die Netze bei uns physisch getrennt und fertig (eigentlich haben wir sogar unterschiedliche Admins für beide Netze).

Wenn es um die rechtlichen Fragen geht: Das ist Sache des Bundeslandes. Ruf entweder den Juristen deines Kultusministeriums oder den Datenschutzbeauftragten deines Bundeslandes an.
Mitglied: JT-131
JT-131 09.01.2012 um 01:56:05 Uhr
Goto Top
Hast du auch mit der Verwaltung von Schulen zu tun oder wie?
Gut zu wissen. Es steht ja da, dass der Datenschutz gewärhleistet sein soll und wenn ich dies am sichersten durch eine physikalische Trennung der Netze erreiche, dann kann ich das auch gut in meinem Projekt Vertreten denke ich.

Danke dir face-smile
Mitglied: dog
dog 09.01.2012 um 02:57:35 Uhr
Goto Top
und wenn ich dies am sichersten durch eine physikalische Trennung der Netze erreiche, dann kann ich das auch gut in meinem Projekt Vertreten denke ich.

Diese Aussage ist technisch betrachtet problematisch.

Betrachten wir mal eine logische Trennung (ich gehe jetzt davon aus, das beide Netze die selben Server oder das selbe Internet benutzen wollen):
Dafür habe ich zwei Möglichkeiten: VLANs oder einen Router mit Firewall oder beides.

Gehen wir also mal nur von VLANs aus:
 Schulnetz v1 --- Server --- Verwaltungsnetz v2
Der Server befindet sich hier in beiden VLANs (Multihoming).
Somit mögliche Angriffsvektoren sind:
  • Falsch konfigurierte Ports: Ports im Schulnetz haben das VLAN des Verwaltungsnetzes
  • Double Tagging / Nested VLAN Attacken: Leicht zu verhindern wenn man zwischen Switchen ausschließlich Tagged VLANs und nie VLAN 1 benutzt
  • Konfigurationsfehler: Einer der Switche oder der Server hat L3-Routingfunktionen aktiv und könnte zwischen den Netzen vermitteln
  • Sicherheitsverletzungen: Das Admin-Passwort (oder ein Benutzerpasswort aus dem Verwaltungsnetz) ist zu unsicher und jemand kann darüber auf die Daten des anderen Netzes zugreifen. Siehe dazu auch: AD Privilege Escalation
  • Softwarebugs: Switche oder Server haben einen Softwarebug und ermöglichen Packet Leaking

Die letzten 3 Punkte sind auch gültig wenn der Server 2 Netzwerkkarten besitzt und die Netze sonst komplett getrennt sind.

Nimmt man jetzt einen Router oder einen L3-Switch erweitern sich die obigen Risiken.

Nachdem du also alle sicherheitsrelevanten Faktoren erkannt hast (evtl. Fachliteratur oder "Hacking-Tools" benutzen) musst du sie gewichten (Eintrittswahrscheinlichkeit beurteilen).
Damit würdest du dann (so aus dem Kopf geraten) irgendwo bei
  • 95% Risiko durch menschliches Versagen (Konfigurationsfehler)
  • 5% Risiko durch Softwarebugs
landen.

Bei mir haben sich dann zwei entscheidende Kriterien gebildet:
  • Die Anzahl der Leute mit Admin-Zugriff im Schulnetz ist zu groß und deren Vertrauenswürdigkeit (auch im Falle von unabsichtlichen Fehlern) kann nicht sichergestellt werden
  • Die Anzahl der möglichen Konfigurationsfehler und der möglichen Angriffe (für die wir zum Teil auch keine Gegenmaßnahmen haben) ist zu hoch

Somit habe ich schlicht gesagt: "In das Boot setze ich mich nicht mit rein" (da ich wohl ohnehin der erstbeste Schuldige bei Problemen wäre).
In anderen Fällen mag die Beurteilung anders ausfallen.